Krigen i Ukraina og bruken av offensive cyberoperasjoner

Simen Bakke
Fagprofil i UTSYN / Senior informasjonssikkerhetsrådgiver

Krigen i Ukraina kan sies å være et laboratorium for testing av teknologiske innretninger for bruk i krigføring. I den forbindelse er den innovative bruken av droner illustrerende – fordi den er synlig. Mindre synlig enn droner, granater og eksploderende artilleriammunisjon er bruken av cyberoperasjoner for å tilegne seg etterretninger i det skjulte.

Usynlig og synlig: cyber-spionasje og cyber-effekt operasjoner

Offensive cyberoperasjoner kan deles inn i to hovedkategorier. Den første er cyber-spionasje operasjoner mens den andre er cyber-effekt operasjoner. Cyber-spionasje operasjoner har, som begrepet indikerer, til hensikt å skaffe informasjon som grunnlag for etterretning, ved bruk av skjulte metoder. Hensikten er ofte å skaffe seg tilgang til en mobiltelefon, en datamaskin, et IT-system eller et nettverk, hvor det befinner seg sensitiv informasjon. Uten at angriperen blir oppdaget. Fordi det sjeldent vil være synlige tegn på mobiltelefonen eller datamaskinen hvis den blir kompromittert av en trusselaktør, vil det for det utrente menneske være vanskelig å oppdage at mobiltelefonen eller datamaskinen har blitt «hacket». For å være i stand til å identifisere en trusselaktør som har brutt seg inn, må man som oftest lese gjennom mange tusen linjer med logger over datatrafikk. Dette er forbeholdt spesialistene og er ikke noe man begir seg ut på uten betydelig trening, kompetanse og de riktige verktøyene.

Til forskjell fra cyber-spionasje vil cyber-effekt operasjonene derimot være mer synlige. De vil skape umiddelbare og reelle konsekvenser for IT-systemer, nettverk og tilkoblede funksjoner. Et godt eksempel på dette fikk vil illustrert i krigens innledende fase da Russland rett før invasjonen av Ukraina, slo ut Viasats KA-SAT satellitt nettverk. Hensikten var å redusere Ukrainas mulighet til å benytte satellitt kommunikasjon. Operasjonen utløste det som trolig var en utilsiktet kaskadeeffekt ved en vindpark i Tyskland, som var avhengig av de samme satellittene for drift av sine vindmøller.

Cyber operasjoner kan få store konsekvenser – også utenfor Ukraina

I tillegg har flere ukrainske virksomheter, både private og offentlige, blitt utsatt for angrep med såkalt wiper-skadevare i krigens innledende fase. Wiper-skadevare er et lite dataprogram som har til hensikt å slette data i et IT-system slik at det blir ødelagt og utilgjengelig. Dette er en form for cyber-sabotasje med destruktive formål. Bruken av slike wipers har økt i takt med krigens utvikling og de russiske etterretningstjenestene som står bak operasjonene har utviklet nye typer skadevare for å unngå oppdagelse, før de blir utløst i offerets IT-systemer. For å lykkes med operasjonene er trusselaktøren avhengig av å få «smuglet» skadevaren inn i motstanderens IT-systemer. Det kan for eksempel være ved å sende e-post med et vedlegg til ansatte i en bedrift eller en offentlig virksomhet. Deretter kan de i tillegg være avhengig av at den ansatte som mottar e-posten trykker på vedlegget. Noen ganger kan dette være nok til å utløse en kjede av reaksjoner som ender opp med at maskinen «kræsjer» og ikke lar seg bli påskrudd igjen. Andre ganger er de også avhengig av å komme seg på innsiden av IT-systemet, eller å kommunisere fra IT-systemet og ut på internett. Internett er nemlig en angrepsvei for trusselaktørene. Derfor kan sårbarheter i programvare tilkoblet internett, være svært kritisk. I Norge fikk vi utfordringen illustrert ved at det ble begått datainnbrudd i IT-plattformen til 12 norske departementer i sommer. En «nulldagssårbarhet» som tidligere ikke var kjent, ble utnyttet av avanserte trusselaktører for tilgang til systemet. Det er grunn til å anta at en fremmed stat står bak.

Ukraina har så langt tilsynelatende klart å beskytte seg fra cyberoperasjonene utført av de russiske etterretningstjenestene GRU og SVR. I alle fall kan det se ut til at de i stor grad har klart å beskytte seg mot de destruktive cyber-effekt operasjonene. Helt siden 2014 har Ukraina arbeidet målrettet for å styrke sitt nasjonale cyberforsvar. Siden den gang har det inntruffet flere alvorlige hendelser som har medført reelle konsekvenser i og utenfor Ukraina. I desember 2015 mistet over 230,000 husstander i øst-Ukraina strømmen i opptil seks timer som følge av et cyberangrep mot strømnettet. Et drøyt år senere, i juni 2017, førte en skadevare med kallenavnet NotPetya til at over 80 virksomheter, både private og offentlige, fikk sine IT-systemer «kryptert» og låst. Den ukrainske sentralbanken og metroen i Kyiv, var blant de som ble angrepet.

NotPetya skadevaren stanset imidlertid ikke ved Ukrainas grenser. Den spredte seg globalt og førte store tap som følge av stans i drift og utgifter for å gjenopprette normaltilstand i IT-systemer. Globalt ble de økonomiske tapene som fulgte av NotPetya anslått til å være større enn 10 milliarder dollar. Samtidig befant over 80 prosent av de berørte virksomhetene seg i Ukraina.

Internasjonal støtte til Ukrainas cyberforsvar

For å styrke det ukrainske cyberforsvaret har blant annet amerikanerne sittet side-om-side med sine ukrainske kollegaer og utført såkalte «hunt-forward» operasjoner i ukrainernes IT-systemer. Dette innebærer å lete etter tegn på russisk trusselaktivitet i IT-systemer og nettverk tilhørende Ukraina. I tillegg har store private IT-selskaper bistått Ukraina med å beskytte deres IT-systemer. Som ett konkret eksempel hjalp Microsoft flere ukrainske virksomheter med å flytte store mengder data fra datasentre i Ukraina, over til Microsoft sine skytjenester like før invasjonen i februar 2022. Hensikten var å sikre tilgang til IT-systemer og data selv om Ukraina skulle bli helt eller delvis okkupert av Russland. Data lagret i en skytjeneste som også er tilgjengelig utenfor Ukrainas territorium kan ikke saboteres ved fysisk tilgang til kun ett datasenter. Derfor var flyttingen av data til skytjenester et viktig tiltak for å sikre tilgjengelige IT-systemer selv når territoriet er fysisk okkupert. Dette er et moment det også er viktig å ha med seg i bakhodet når debatten om etablering av en ny «nasjonal skytjeneste» pågår i Norge. En slik skytjeneste må også kunne fungere ved okkupasjon.

Suksesser og utfordringer

Cyberforsvaret av Ukraina fremstår derfor så langt som en suksess. Som nevnt foregår cyberoperasjoner, og spesielt cyber-spionasje, i det skjulte. Hvorvidt russiske aktører har klart å utføre operasjoner som ikke er avdekket av Ukrainske myndigheter og samarbeidspartnere, er uvisst. Russiske trusselaktører har tidligere utført avanserte leverandørkjedeangrep mot programvare som selv ikke amerikanske sikkerhets- og etterretningstjenester klarte å avdekke, slik som Solarwinds operasjonen som ble avdekket i desember 2020. Det amerikanske cybersikkerhetsselskapet FireEye avdekket operasjonen hele ni måneder etter at de russiske aktørene kompromitterte Solarwinds programvaren som ble utnyttet. Flere amerikanske departementer ble berørt ved hendelsen.

Samtidig er det viktig å være klar over at det er vanskelig for en angriper å utføre cyberoperasjoner som skaper destruktive effekter dersom forsvareren er godt forberedt. At Russland i dag benytter kryssermissiler for å slå ut strømnettet i Ukraina, er illustrerende for at konvensjonelle våpen kan være enklere å benytte enn cyberoperasjoner for å ødelegge kritisk infrastruktur. Det seks timer lange strømutfallet som fulgte av cyberangrepet i 2015, var nok til å leve med sammenliknet med den brutale fremferden vi i dag ser. Det at Russland benytter missiler for å sabotere strømnettet i Ukraina kan imidlertid være et tegn på at Ukrainerne faktisk evner å forsvare seg mot deres cyberoperasjoner.

Teksten ble først publisert i Befalsbladet, no. 3, oktober 2023.